网站安全

IIS是什么（https://zhidao.baidu.com/question/217162947） 是互联网信息服务，是由微软公司提供的基于运行Microsoft Windows的互联网基本服务。 IIS是一种Web（网页）服务组件，其中包括Web服务器、FTP服务器、NNTP服务器和SMTP服务器，分别用于网页浏览、文件传输、新闻服务和邮件发送等方面，它使得在网络（包括互联网和局域网）上发布信息成了一件很容易的事。 IIS功能作用（链接同上） 　　在同一时间内允许打开的网站页面数，打开一个页面占一个iis，打开一个站内框架页面占2到3个iis；若图片等被盗链，在其它网站打开本站图片同样占一个iis。假若设置内参数为50个iis，则这个站允许同时有50个页面被打开。但要在同一时间（极短的时间）有50个页面被打开，需要50个人同时操作，这个概率还是比较低的。所以，100个iis支持日ip1000（同时访问网站人数必定远低于1000人）以上都不是很大问题，除非网容站被盗链或框架引发其它消耗。 搭建服务器 搭建IIS，开始—设置—控制面板 添加或删除程序 添加或删除Windows组件 找到应用程序服务器 勾上IIS 点开IIS里面还有一个可选项—FTP，一般我们也是选的 搭建网站的方法：Internet信息服务里—网站—右键—新建—网站 弹出框选下一步 描述写起来无所谓，随便写

这篇文章内容关键详细介绍WAF的一些基本概念。WAF是专业为维护根据Web程序运行而设计的，我们科学研究WAF绕开的目地一是协助安服工作人员掌握渗透检测中的检测方法，二是可以对安全机器设备生产商出示一些安全提议，立即修补WAF存有的安全难题，以提高WAF的完备性和抗攻击能力。三是期待网站开发人员搞清楚并并不是布署了WAF就可以无忧无虑了，要搞清楚系统漏洞造成的直接原因，最好是能在代码方面上就将其修补。 一、WAF的界定 WAF(网站web运用服务器防火墙)是根据实行一系列对于HTTP/HTTPS的安全策略来专业为Web运用保护的一款安全防护产品。通俗化而言就是说WAF产品里融合了一定的检测标准，会对每一请求的內容依据转化成的标准开展检测并对不符安全标准的做出相匹配的防御解决，进而确保Web运用的安全性与合理合法。 二、WAF的原理 WAF的解决步骤大概可分成四一部分：预备处理、标准检测、解决控制模块、系统日志纪录。 1.预备处理 预备处理环节最先在接受到数据信息请求总流量时候先分辨是不是为HTTP/HTTPS请求，以后会查询此URL请求是不是在权限以内，假如该URL请求在权限目录里，立即交到后端开发Web服务器开展回应解决，针对没有权限以内的对数据文件分析后进到到标准检验一部分。 2.标准检验 每一种WAF产品常有自身与众不同的检验标准管理体系

时至今日,无论是大型的或个人网站,都必须把安全作为建设网站的必要条件之一.因为互联网的黑客攻击行为越来越频繁,而网站是构成互联网的其中重要部分,当网站的安全设施没做好,就会容易受到黑客的攻击,容易造成一系列互联网的连锁反应. 1、明确网站需要保护的目标对象 这是每一位建站者必须要明确的问题,也是最关键的业务考虑问题.对于网站来说,以下群体是每一网站必须保护的对象: 网络邻居:共享主机或者VPS的邻居服务器.当网络邻居遭遇黑客攻击,服务器上的其他站也会受到影响.黑客可以占用大量的资源,就会导致减慢其他站点的运行速度. 网站终端访客:过去,当网站被非法植入恶意软件,普通的用户并没有专业的辨别能力.常导致恶意软件被下载到客户端的设备上,最后出现用户的密码被盗,发生个人信息泄露事件.最后网站需承担没有做好用户数据保护的责任. 数据保护: 数据保护对于任何一家企业来说都是十分重要的,但是数据丢失(包括被窃取)或被滥用,企业就必须承担关于数据保护的违规行为.目前国际最严厉的发过是前段时间欧盟颁布的GDPR,企业一旦存在违反用户数据隐私保护条例,企业就要面临巨额的罚款2、网站的安全防护之SSL证书SSL代表安全套接字层,是一种网络传输协议.在服务器和客户端之间创建安全的连接,为两者之间创建加密通道,保护两者之间传递的信息.通常,客户端用户要判断网站是否存在有效的SSL证书

Apache样例文件泄漏 测试方法   在链接的根目录中添加examples或者docs目录进行访问判断！ 漏洞描述  apache一些样例文件没有删除，可能存在cookie、session伪造，进行后台登录操作 修复建议  1、删除样例文件  2、对apache中web.xml进行相关设置 弱口令 测试方法   先手工尝试一些最基本的弱口令，如admin/admin、admin/123456、admin/888888等，如果不行，使用暴力破解工具进行暴力破解，如使用burpsuite，另外推荐一个小技巧，使用暴力破解的时候，弱口令使用2到3个常见的，然后用户名使用人名拼音top500！ 漏洞描述   由于系统中存在有弱口令，导致***者通过弱口令可轻松登录系统中，从而进行下一步的***，如上传webshell，获取敏感数据！   另外***者利用弱口令登录网站管理后台，可任意增删改等操作，从而造成负面影响！ 修复建议   1、 建议强制用户首次登录时修改默认口令，或是使用用户自定义初始密码的策略；   2、 完善密码策略，信息安全最佳实践的密码策略为8位（包括）以上字符，包含数字、大小写字母、特殊字符中的至少3种。   3、对管理后台进行访问控制，修改后台弱口令，加强口令强度并定期修改。   4、增加验证机制，防爆破机制，限制ip＋cookie访问次数。 明文传输登录口令

网站需要SSL认证吗？是的，任何网站都是需要SSL认证的。 百度谷歌等主流浏览器正在打击“非安全”网站。哪些被称为“非安全”网站呢？也就是没有安装SSL证书，网站没有进行SSL认证的还在使用http协议的网站，会在Chrome浏览器中发出非https网站，提示红色不安全的警告。 而且百度谷歌明确表示安装SSL证书的网站会优先排名，因此除非您的网站已经认证了SSL证书，否则您的网站将更难在搜索引擎靠前的位置找到，从而影响您的流量和收入。 来源： 51CTO 作者： 米老鼠吖 链接： https://blog.51cto.com/14377747/2478765

本文是学习大型分布式网站架构的技术总结。对架构一个高性能，高可用，可伸缩，可扩展的分布式网站进行了概要性描述，并给出一个架构参考。一部分为读书笔记，一部分是个人经验总结。对大型分布式网站架构有很好的参考价值。 一、大型网站的特点 用户多，分布广泛 大流量，高并发 海量数据，服务高可用 安全环境恶劣，易受网络攻击 功能多，变更快，频繁发布 从小到大，渐进发展 以用户为中心 免费服务，付费体验 二、大型网站架构目标 高性能：提供快速的访问体验。 高可用：网站服务一直可以正常访问。 可伸缩：通过硬件增加/减少，提高/降低处理能力。 安全性：提供网站安全访问和数据加密，安全存储等策略。 扩展性：方便的通过新增/移除方式，增加/减少新的功能/模块。 敏捷性：随需应变，快速响应； 三、大型网站架构模式 分层：一般可分为，应用层，服务层，数据层，管理层，分析层； 分割：一般按照业务/模块/功能特点进行划分，比如应用层分为首页，用户中心。 分布式：将应用分开部署（比如多台物理机），通过远程调用协同工作。 集群：一个应用/模块/功能部署多份（如：多台物理机），通过负载均衡共同提供对外访问。 缓存：将数据放在距离应用或用户最近的位置，加快访问速度。 异步：将同步的操作异步化。客户端发出请求，不等待服务端响应，等服务端处理完毕后，使用通知或轮询的方式告知请求方。一般指：请求——响应——通知 模式。 冗余

REST是一种架构风格，其核心是面向资源，REST专门针对网络应用设计和开发方式，以降低开发的复杂性，提高系统的可伸缩性。REST提出设计概念和准则为： 1.网络上的 所有事物都可以被抽象为资源(resource) 2.每一个资源都有唯一的资源标识(resource identifier)，对资源的操作不会改变这些标识 3.所有的操作都是 无状态 的 REST简化开发，其架构遵循CRUD原则，该原则告诉我们对于资源(包括网络资源)只需要四种行为：创建，获取，更新和删除就可以完成相关的操作和处理。您可以通过统一资源标识符（Universal Resource Identifier，URI）来识别和定位资源，并且针对这些资源而执行的操作是通过 HTTP 规范定义的。 其核心操作只有GET,PUT,POST,DELETE。 由于REST强制所有的操作都必须是stateless的，这就没有上下文的约束，如果做分布式，集群都不需要考虑上下文和会话保持的问题。极大的提高系统的可伸缩性。 对于SOAP Webservice和Restful Webservice的选择问题，首先需要理解就是SOAP偏向于面向活动，有严格的规范和标准，包括安全，事务等各个方面的内容，同时SOAP强调操作方法和操作对象的分离，有WSDL文件规范和XSD文件分别对其定义。而REST强调面向资源

　　首先，应该怀着这样一种心态来学习Restful——Restful你可以将其理解一种软件架构风格，并且诠释了Http协议的设计初衷，所以不要把他理解的那么神秘，Restful风格有好处，当然也是有坏处的。 　　然后是正文（转的）： 在SOA的基础技术实现方式中WebService占据了很重要的地位，通常我们提到WebService第一想法就是SOAP消息在各种传输协议上交互。近几年REST的思想伴随着SOA逐渐被大家接受，同时各大网站不断开放API提供给开发者，也激起了REST风格WebService的热潮。 SOAP 什么是SOAP，我想不用多说，google一把满眼都是。其实SOAP最早是针对RPC的一种解决方案，简单对象访问协议，很轻量，同时作为应用协议可以基于多种传输协议来传递消息（Http,SMTP等）。但是随着SOAP作为WebService的广泛应用，不断地增加附加的内容，使得现在开发人员觉得SOAP很重，使用门槛很高。在SOAP后续的发展过程中，WS-*一系列协议的制定，增加了SOAP的成熟度，也给SOAP增加了负担。 REST REST其实并不是什么协议也不是什么标准，而是将Http协议的设计初衷作了诠释，在Http协议被广泛利用的今天，越来越多的是将其作为传输协议，而非原先设计者所考虑的应用协议。SOAP类型的WebService就是最好的例子

在SOA的基础技术实现方式中WebService占据了很重要的地位，通常我们提到WebService第一想法就是SOAP消息在各种传输协议上交互。近几年REST的思想伴随着SOA逐渐被大家接受，同时各大网站不断开放API提供给开发者，也激起了REST风格WebService的热潮。 SOAP 什么是SOAP，我想不用多说，google一把满眼都是。其实SOAP最早是针对RPC的一种解决方案，简单对象访问协议，很轻量，同时作为应用协议可以基于多种传输协议来传递消息（Http,SMTP等）。但是随着SOAP作为WebService的广泛应用，不断地增加附加的内容，使得现在开发人员觉得SOAP很重，使用门槛很高。在SOAP后续的发展过程中，WS-*一系列协议的制定，增加了SOAP的成熟度，也给SOAP增加了负担。 REST REST其实并不是什么协议也不是什么标准，而是将Http协议的设计初衷作了诠释，在Http协议被广泛利用的今天，越来越多的是将其作为传输协议，而非原先设计者所考虑的应用协议。SOAP类型的WebService就是最好的例子，SOAP消息完全就是将Http协议作为消息承载，以至于对于Http协议中的各种参数（例如编码，错误码等）都置之不顾。其实，最轻量级的应用协议就是Http协议。Http协议所抽象的get,post,put,delete就好比数据库中最基本的增删改查

在 SOA 的基础技术实现方式中 WebService 占据了很重要的地位，通常我们提到 WebService 第一想法就是 SOAP 消息在各种传输协议上交互。近几年 REST 的思想伴随着 SOA 逐渐被大家接受，同时各大网站不断开放 API 提供给开发者，也激起了 REST 风格 WebService 的热潮。 SOAP 什么是 SOAP ，我想不用多说， google 一把满眼都是。其实 SOAP 最早是针对 RPC 的一种解决方案，简单对象访问协议，很轻量，同时作为应用协议可以基于多种传输协议来传递消息（ Http,SMTP 等）。但是随着 SOAP 作为 WebService 的广泛应用，不断地增加附加的内容，使得现在开发人员觉得 SOAP 很重，使用门槛很高。在 SOAP 后续的发展过程中， WS-* 一系列协议的制定，增加了 SOAP 的成熟度，也给 SOAP 增加了负担。 REST REST 其实并不是什么协议也不是什么标准，而是将 Http 协议的设计初衷作了诠释，在 Http 协议被广泛利用的今天，越来越多的是将其作为传输协议，而非原先设计者所考虑的应用协议。 SOAP 类型的 WebService 就是最好的例子， SOAP 消息完全就是将 Http 协议作为消息承载，以至于对于 Http 协议中的各种参数（例如编码，错误码等）都置之不顾。其实